LightNeuron übernimmt Kontrolle über gesamte E-Mail-Kommunikation

ESET enttarnte Angriffe der Hackergruppe Turla auf diplomatische Einrichtungen und Ministerien in Europa und dem Nahen Osten. [...]

Turla ist einer der ältesten Cyberspionage-Gruppen mit mehr als einem Jahrzehnt Erfahrung. (c) Joachim Roy - Fotolia
Turla ist einer der ältesten Cyberspionage-Gruppen mit mehr als einem Jahrzehnt Erfahrung. (c) Joachim Roy - Fotolia

ESET Forscher haben ein neues Spionageprogramm entdeckt, das sich auf die Cyberspionage-Gruppe Turla (auch Snake oder Uroburos genannt) zurückführen lässt. Im aktuellen Fall handelt es sich um eine neuartige Backdoor namens LightNeuron, die es als Advanced Persistent Threat (APT) auf Microsoft Exchange Server abgesehen hat. Sie missbraucht als erstes bekanntes Schadprogramm den Exchange Transport Agenten. Hierdurch kann Turla jede über den Mail Server laufende E-Mail mitlesen, modifizieren oder blocken. Es können sogar Nachrichten im Namen legitimer Nutzer verschickt werden. Bisher ist bekannt, dass die Backdoor gegen Ziele in Europa, dem Nahen Osten und Brasilien eingesetzt wurden. Die Einzelheiten haben die ESET Forscher in einem Whitepaper zusammengefasst. Dieses ist auf WeLiveSecurity erhältlich.

„Früher waren Kernel Rootkits für erfolgreiche APTs ein probates Mittel. Diese haben aber durch die Verbesserung der Sicherheitsarchitektur in Betriebssystemen an Bedeutung verloren. Backdoors wie LightNeuron könnten diese Lücke füllen und zum heiligen Gral der Cyberkriminellen werden“, erklärt Thomas Uhlemann, ESET Security Specialist. „Mit der neuen Malware ergaunert sich Turla umfangreiche Zugriffsrechte auf Exchange Server und übernimmt so die volle Kontrolle über die gesamte E-Mail-Kommunikation der attackierten Organisation.“

Attacken auf Exchange Server

Den ESET Analysen zufolge ist die Backdoor seit 2014 aktiv. Neuartig ist an diesem Spionageprogramm, dass in Microsoft Exchange ein schädlicher Transport Agent eingerichtet wird. Einmal installiert, verarbeitet dieser sämtliche ein- und ausgehenden E-Mails. Transport Agents werden sonst zum Beispiel als Spam-Filter genutzt. Um Kommandos an das Spionageprogramm zu geben, nutzen die Kriminellen manipulierte E-Mails mit PDF- und JPG-Dateien als Anhang. In diesen Dateien wurde mithilfe steganographischer Techniken verborgene Befehle eingebettet.

USA, Deutschland und Europa gehören zu den Zielen von Turla

Turla ist einer der ältesten Cyberspionage-Gruppen mit mehr als einem Jahrzehnt Erfahrung. Die Gruppe konzentriert sich hauptsächlich auf hochkarätige Ziele wie Regierungen, Wirtschaftsunternehmen sowie diplomatische Einrichtungen in Europa, Zentralasien und dem Nahen Osten. Wichtige Organisationen wie das das Auswärtige Amt der Bundesrepublik Deutschland, das US-Verteidigungsministerium, das Schweizer Rüstungsunternehmen Ruag oder die französische Armee wurden von der Turla bereits erfolgreich infiltriert. Mit LightNeuron haben es die Cyberspione derzeit auf Außenministerien und diplomatische Vertretungen in Osteuropa und dem Nahen Osten abgesehen. Ob es noch weitere Ziele gibt ist derzeit unklar. Eine Ausweitung der Kampagne auf Westeuropa ist für die Turla Spionagegruppe technologisch nach Einschätzung von ESET unproblematisch.


Mehr Artikel

News

Große Sprachmodelle und Data Security: Sicherheitsfragen rund um LLMs

Bei der Entwicklung von Strategien zur Verbesserung der Datensicherheit in KI-Workloads ist es entscheidend, die Perspektive zu ändern und KI als eine Person zu betrachten, die anfällig für Social-Engineering-Angriffe ist. Diese Analogie kann Unternehmen helfen, die Schwachstellen und Bedrohungen, denen KI-Systeme ausgesetzt sind, besser zu verstehen und robustere Sicherheitsmaßnahmen zu entwickeln. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*